wonder

exim 서버(SMTP 메일 전송 서버) 취약점으로 인해 350만대의 취약한 서버가 남게 되었습니다. CVE-2023-42115 (CVSS score 9.8) - 원격 공격자의 RCE라서 굉장히 높은 점수를 받았으며 사용자 또한 높습니다. ZDI에 따르면 적절한 유저 정보, 인증없이 버퍼를 쓸 수 있도록 합니다. > 따라서 유저 계정에 대해 code execution이 가능합니다. 큰 특징은 2022년에 취약점 정보를 발표하여, 2023년에 패치되는 1년이나 방치되어 있던 제로데이 취약점이라 아마 이미 많이 뚫렸지 않을까 싶습니다. 가장 좋은 완화방법은 해당 어플리캐이션을 off로 종료하고 당분간 건들이지 않는 것입니다.

MS SharePoint 서버에서 취약점이 나왔습니다. JWT 인증 토큰을 spoofing하여 어드민 계정 권한을 얻었습니다. MS는 6월에 설명을 하면서 패치했다고 알렸습니다. XSS처럼 해당 유저의 interaction없이 인증을 우회할 수 있고, 결국 인증없이 원격 코드 실행을 할 수 있습니다. Pwn2Own contest 밴쿠버 에서 연구원 Nguyễn Tiến Giang (Janggggg) 는 취약점을 찾고 1억 가량의 상금을 받았으며 악용되지 않는 선에서 어떻게 취약점이 발현된는지 github에 올렸습니다. 이걸 가져다가 더 악용포인트를 찾지 못하도록 9월 25일, 먼저 더 많은 디테일 정보를 쓰기도 했습니다. 여기에는 두번째 취약점인 command injection 도 포함되어 있었습니다.

손에 꼽힐정도로 30억개라는 엄청난 양의 Creds가 유출되었습니다. Darkbeam이라는 위험관리 회사이며 고객사의 데이터를 많이 저장해둔듯합니다. 하지만 직원의 실수로 Elasticsearch와 Kibana 인터페이스를 안전하지 않게 다뤘고 결국 유출까지 벌어졌습니다. 처음엔 이메일만 유출되었나보다. 그래도 위험하지. 라고 생각했는데, 이메일과 패스워드이며, 이름까지 유출되었기 때문에 매우 심각한 사건이라고 할 수 있습니다. 30억개의 정보로 광범위한 공격이 가능할 것으로 예상됩니다. 가장 좋은건 문자로든 직접 contact 해서 사기성으로 전화를 걸거나 또는 문자로 보내서 크레덴셜을 입력하게 한다거나, 악성 앱을 설치하게 시킬 겁니다. 30억개의 고객정보이기 때문에 돈을 많이 버는 사람도 있을거고 ..

랜섬웨어 그룹들이 (퀀텀, 노코야와, 블랙캣, 클롭, 로얄, 캌투스, 플레이 등) 이 연합해 만든 ShadowSyndicate 그룹에 대한 내용입니다. 특히 clop 랜섬웨어 갱단과 이 그룹의 ip 주소가 많이 중복됩니다. Group-IB 에서 shodan을 적극 이용해 OSINT 한 결과 동일한 SSH fingerprinting에는 80개의 접속 ip address가 있었고 많이 생소한 나라들의 프록시를 사용한 듯 보입니다. 공격 기법에 대해서는 cobalt strike C2 를 대부분 사용하고 대안으로 sliver pentest tool도 사용합니다. IcedID malware 로더, Matanbuchus MaaS 로더, Metasploit payload 까지 사용합니다. 진짜 잘하는 해킹그룹이라면 ..

요즘에는 captcha 가 인공지능의 발달도 있고 해킹의 고급화로 인해 다 뚫리고 있습니다. 그 외에도 데이터를 조작하거나 탈취하는 봇들이 너무 많이 돌아다닙니다. 이걸이용해서 보통 티켓팅이나 예약 후 리셀링을 하는데 많이 악용됩니다. 그 외로도 초기 캡챠가 없을 시절에는 봇을 많이 사용했습니다. malicious 링크를 뿌리는데 게시판에 무한대로 뿌려 이용한다거나 악성 계정을 여러개 만들어 사용하거나 서버리소스를 높이고 온라인 투표에도 이용할 수 있었습니다. 이때까지는 건실했던 캡챠가 결국 온라인 비즈니스에서 적절하지 않다는겁니다. 그렇다고 해서 더 복잡한 로직을 추가하자니 유저의 경험이 망가져서 서비스를 찾지 않게 됩니다. 유저의 경험과 보안성의 중간에서 밸런스를 맞추려는 노력을 하고 있습니다. 캡챠..

Gelsemium APT는 여러 아시아 정부들을 stealty하게 타겟으로 하는 것으로 유명합니다. 그 외로도 2014년부터 교육, 전기 제조업 등을 노렸습니다. 조용한만큼 높은 기술과 프로그래밍 지식수준을 보여줍니다. 2022년부터 6개월동안 공격을 했습니다. 팔로알토 네트워크에 따르면 타임라인에 따라 공격에 사용했던 툴들이 공개되었습니다. 먼저 웹 취약점을 exploit해서 web shell 을 설치했습니다. 'reGeorg,' 'China Chopper,' and 'AspxSpy' 라는 공개적으로 사용가능한 쉘들이며 많은 그룹들이 사용합니다. 당연하게도 웹쉘을 사용해서 recon 정찰을 하거나, SMB에 접속해 횡적 움직임을 보이거나, 다른 payload를 실행했습니다. 또 다른 툴이라 한다면 횡적..